Ordinypt
Ordinypt or HSDFSDCrypt is a ransomware that runs on Microsoft Windows. It was discovered by Michael Gillespie. It is aimed at German-speaking users. Payload Transmission Similar to how the original Petya was distributed, Ordinypt is also pretending to be resumes being sent in reply to job adverts. These emails contain two files. One of them is a JPG image of the woman supposedly sending a resume, and a ZIP file containing the resume and a curriculum vitae. These attachments are named Viktoria Henschel - Bewerbungsfoto.jpg and Viktoria Henschel - Bewerbungsunterlagen.zip. The email states the following: Sehr geehrte Damen und Herren, anbei erhalten Sie meine Bewerbung für Ihre bei der Arbeitsagentur ausgeschriebene Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen. Ich freue mich, wenn ich mich Ihnen noch einmal persönlich vorstellen kann. Mit freundlichen Grüßen, Viktoria Henschelg This translates to: Dear Sir or Madam, Enclosed you will receive my application for your job advertised at the Employment Agency. Please see my detailed and attached application documents for the reasons why I am able to fill the vacant position optimally and that your experience has many advantages for your company. I'm glad if I can introduce myself once again. Best regards, Viktoria Henschel The ZIP archive contains two EXE files that use the old double-extension and custom icon tricks to fool users into thinking they're different files. In this case, PDF files. On Windows PCs that hide the file extensions by default, the EXE extension will not show up, and users will only see the PDF part, enough to fool users into believing the files are legitimate PDFs, and not an executables. Infection Running either executable will launch the Ordinypt ransomware. Despite the name, it is actually a wiper because it does not bother encrypting anything, but just replaces files with random data. According to reverse engineer Philipp Mackensen, Ordinypt will replace the contents of files with random generated characters consisting of uppercase and lowercase letters and numbers. It performs a search for files just like any other ransomware, but just creates a pseudo-encrypted-file which in reality is just a garbage file and deletes the original file afterwards. The same algorithm used to generate the random data is also used to generate the new pseudo-encrypted-file's name, which is made up of 14 random alpha-numeric characters. Ordinypt doesn't even bother hiding its destructive nature, as the new files are sometimes more than half the size of the originals. Ordinypt also drops a ransom note in every folder where it destroys files. The ransom note is named Wo_sind_meine_Dateien.html, which translates to Where_are_my_files.html. The ransom note states the following: Ihre Dateien wurden verschlüsselt! Sehr geehrte Damen und Herren, Wie Sie mit Sicherheit bereits festgestellt haben, wurden alle Ihre Dateien verschlüsselt. Wie erhalte ich Zugriff auf meine Dateien? Um Ihre Dateien erfolgreich zu entschlüsseln, benötigen Sie unsere Spezielle Software und den dazugehörigen Decrypt-Key. Wo bekomme ich die Software? Die Entschlüsselungs-Software können Sie bei uns erwerben. Der Preis für die Entschlüsselungs-Software beläuft sich auf 0.12 Bitcoin (ca. 600 Euro). Bitte beachten Sie, dass wir ausschließlich Bitcoin für den Erwerb der Software akzeptieren. Wo bekomme ich Bitcoin? Bitcoin können Sie Online sowie Offline erwerben, eine Liste empfohlener Anbieter folgt: https://www.bitcoin.de/de/ - Online https://localbitcoins.com/ - Online / Offline https://btcdirect.eu/de-at - Online https://www.virwox.com - Online Zahlungsanweisungen Bitte transferieren Sie exakt 0.12 Bitcoin an folgende Addresse: 14DeorRVAaqEeLugPHhcHdejyEAL26gdpx Nach erfolgreichem Zahlungseingang erhalten Sie automatisch die Entschlüsselungs-Software sowie den dazugehörigen Decrypt-Key. ACHTUNG! Sollten wir innerhalb von 7 Tagen keinen Zahlungseingang feststellen, gehen wir davon aus, dass Sie kein Interesse an der Entschlüsselung Ihrer Dateien haben. In diesem Fall löschen wir den Decrypt-Key unwiderruflich und Ihre Dateien sind für immer verloren. Ihre Dateien wurden mit einem 256-Bit AES Algorithmus auf Militärqualität verschlüsselt. Wir empfehlen Ihnen keine Zeit mit eigenhändigen Entschlüsselungsversuchen zu verschwenden, dies würde Sie nur unnötig Zeit und weiteres Geld kosten, Ihre Dateien wären aber weiterhin verschlüsselt. Bonus Zusätzlich zur Entschlüsselungs-Software erhalten Sie nach erfolgreicher Zahlung, hinweise wie die Schadsoftware auf Ihre System gelangen konnte und wie Sie sich in Zukunft vor weiteren Übergriffen schützen können! This translates to: Your files have been encrypted! Dear Sirs and Madames, As you have surely already noticed, all of your files have been encrypted. How do I get access to my files? To successfully decrypt your files, you need our special software and the associated decrypt key. Where can I get the software? You can purchase the decryption software from us. The decryption software costs 0.12 Bitcoin (approx. 600 euros). Please note that we only accept Bitcoin for the purchase of the software. Where can i get bitcoin? You can buy Bitcoin online and offline, a list of recommended providers follows: https://www.bitcoin.de/de/ - Online https://localbitcoins.com/ - online / offline https://btcdirect.eu/de-at - Online https://www.virwox.com - online money orders Please transfer exactly 0.12 Bitcoin to the following address: 14DeorRVAaqEeLugPHhcHdejyEAL26gdpx After successful receipt of payment, you will automatically receive the decryption software and the associated decrypt key. CAUTION! If we do not find any payment within 7 days, we assume that you are not interested in decrypting your files. In this case, we irrevocably delete the decrypt key and your files are lost forever. Your files were encrypted using a military grade 256-bit AES algorithm. We recommend that you do not waste time trying to decrypt it yourself, this would only waste time and money, but your files would still be encrypted. bonus In addition to the decryption software, after successful payment you will receive instructions on how the malware got on your system and how you can protect yourself from further attacks in the future! Category:Delphi Category:Ransomware Category:Win32 ransomware Category:Win32 Category:Win32 trojan Category:Microsoft Windows Category:Trojan